Criminal Justice Information Services (CJIS)

La division Criminal Justice Information Services (CJIS) de l'US Federal Bureau of Investigation (FBI) dispense des conseils aux autorités fédérales, gouvernementales, locales et tribales sur la protection des informations liées à la justice pénale (CJI) lors de l'utilisation de fournisseurs de services cloud (FSC), comme Google Cloud.

Les clients Google Cloud peuvent utiliser Assured Workloads pour Google Cloud et Assured Controls pour Google Workspace pour se conformer à la version 5.9.5 de la politique de sécurité du CJIS.

Présentation du CJIS

La division CJIS du FBI supervise de nombreuses bases de données nationales utilisées par les services de justice pénale à travers le pays.La plupart des données stockées dans ces bases sont considérées comme des informations sur la justice pénale (CJI, Criminal Justice Information) et sont protégées contre toute utilisation et divulgation non autorisées. La politique de sécurité CJIS (CJISSECPOL), publiée par la division CJIS du FBI, fournit l'ensemble minimal d'exigences de sécurité pour protéger et sauvegarder les données CJI.

Le FBI fournit également un document d'accompagnement sur les exigences qui met en avant les modifications récentes apportées à la politique de sécurité CJIS et aide à identifier les rôles et responsabilités de sécurité des entités qui accèdent aux données CJI. Bien que le CJA qui accède aux données CJI soit toujours responsable de la conformité au CJIS, le document d'accompagnement des exigences l'aide à déterminer qui (par exemple, Division CJIS du FBI, CJA, fournisseur de services, etc.) dispose de la capacité technique nécessaire pour s'assurer que les exigences sont respectées.

Les clients Google Cloud Platform et Google Workspace peuvent utiliser les produits Assured Workloads et Assured Controls pour assurer leur conformité avec la politique de sécurité de la division CJIS, v5.9.5. Une organisation tierce indépendante a récemment évalué les contrôles de sécurité CJIS de Google Cloud et a conclu que Google Cloud était conforme à la norme CJIS. Des informations supplémentaires sur la conformité peuvent également être fournies sur demande pour démontrer comment Google Cloud répond aux exigences du CJISSECPOL applicables aux fournisseurs de services cloud.

Google Cloud participe également aux réunions du Conseil consultatif sur les règles de sécurité du CJIS et examine les nouvelles versions de la politique de sécurité du CJIS et du document d'accompagnement sur les exigences pour s'assurer que nos règles et procédures sont conformes à toute modification.

Héberger des charges de travail CJIS sur Google Cloud Platform

Assured Workloads pour le CJIS permet aux clients de respecter la politique de sécurité CJIS. Assured Workloads pour Google Cloud Platform est le cloud réglementaire de Google Cloud. Il permet de respecter des frameworks tels que CJIS, FedRAMP High et Department of Defense IL2 / IL4 / IL5.

Assured Workloads adopte une approche zéro confiance basée sur des logiciels pour la conformité réglementaire. Il permet aux clients de répondre aux exigences strictes de conformité du cloud imposées par les gouvernements, tout en offrant les avantages en termes de performances, d'évolutivité, de disponibilité des services, de coûts et de fiabilité que les clients renoncent à utiliser lorsqu'ils utilisent des architectures cloud physiquement séparées.

Assured Workloads simplifie la sécurité et la conformité pour les forces de l'ordre locales, tribales, fédérales et étatiques (ainsi que pour tout autre utilisateur CJI dans le domaine de la justice pénale ou non pénale) en :

  • Configurant les contrôles d'emplacement des données pour restreindre les charges de travail CJIS aux régions situées aux États-Unis uniquement ("résidentialité des données")
  • Mettant en place des contrôles de sécurité et d'accès du personnel afin de cantonner l'accès non accompagné aux CJI non chiffrées aux personnes des États-Unis qui résident aux États-Unis, et qui ont effectué la vérification d'antécédents sur empreintes digitales, définie par le FBI à l'échelle des États
  • Activant l'utilisation de clés de chiffrement gérées par le client (CMEK), hébergées sur Google Cloud ou à l'aide d'un gestionnaire de clés externe
  • Permettant aux clients de contrôler et de suivre les accès administratifs
  • Surveillant de manière continue les environnements client pour détecter les non-conformités

Héberger des charges de travail CJIS sur Google Workspace

Assured Controls pour Google Workspace permet aux entreprises de répondre aux exigences organisationnelles et de conformité, qu'il s'agisse de limiter l'accès du personnel Google aux données client ou de s'assurer que l'emplacement de ces données est limité aux États-Unis.

Les clients qui souhaitent déployer des solutions CJIS à l'aide de Google Workspace peuvent utiliser Assured Controls pour définir des règles conformes à la politique de sécurité de la division CJIS. Cliquez ici pour consulter le guide de configuration des solutions CJIS sur Google Workspace.

Services Google Cloud conformes aux exigences du CJIS

Questions fréquentes

Une organisation tierce indépendante a récemment évalué les contrôles de sécurité CJIS de Google Cloud et a conclu que Google Cloud était conforme à la norme CJIS. Google prévoit de mettre à jour cette évaluation une fois que la version 6.0 de la politique de sécurité du CJIS aura été publiée.

Si un client ou un CSA (organisme chargé de la gestion des systèmes CJIS) en fait la demande, Google Cloud signera un accord de gestion qui fournit aux clients des informations détaillées sur la manière dont Google Cloud respecte la politique de sécurité de la division CJIS, sur les responsabilités de chacune des parties, sur les services cloud couverts et sur de nombreuses autres dispositions importantes. Vous pouvez demander une copie de l'accord de gestion CJIS de Google Cloud en envoyant un e-mail à l'adresse cjis@google.com.

L'équipe de conformité de Google Cloud peut également fournir des documents détaillés sur la conformité, qui montrent comment Google Cloud répond aux exigences de la loi CJISSECPOL applicables aux fournisseurs de services cloud.

Oui. Google Cloud permet aux clients de restreindre les charges de travail CJIS à des régions uniquement situées aux États-Unis grâce à Assured Workloads et Assured Controls. Google stockera vos données au repos conformément aux conditions spécifiques du service.

Dans les États où les employés Google peuvent avoir un accès non accompagné aux CJI non chiffrées, Google collabore avec le CSA (ou une agence locale) pour s'assurer que le personnel ayant accès sans escorte aux CJI non chiffrées d'un État fait l'objet d'une vérification d'antécédents par le FBI basée sur les empreintes digitales. Le personnel concerné de Google fournira à chaque CSA le formulaire d'empreintes digitales FD-258, ainsi que tout document requis.

Cette procédure permet de s'assurer que les membres autorisé du personnel ne vont bénéficier d'un accès sans supervision qu'après avoir effectué la vérification d'antécédents et suivi la formation de sensibilisation à la sécurité de la division CJIS.

Google a implémenté le principe de confiance zéro au cœur de ses services et de ses opérations. Notre infrastructure ne présume aucune confiance entre les services qui s'exécutent dessus. En d'autres termes, chaque demande d'accès aux ressources est inspectée, authentifiée et vérifiée comme si elle provenait d'un réseau non approuvé.

Les environnements client dans Google Cloud sont également séparés logiquement pour empêcher les utilisateurs et les clients d'accéder aux ressources qui ne leur sont pas attribuées. Les données client (y compris les données d'identification client) sont séparées logiquement par domaine afin de permettre la production de données pour un seul locataire. La capacité de Google Cloud à protéger les données client de cette manière, tout en permettant de développer des fonctionnalités plus rapidement et en offrant des avantages en termes de coûts pour le client, en fait le meilleur choix pour les clients du secteur public.

Enfin, toutes les données client en transit et au repos sont chiffrées par défaut pour TOUS les clients. Cela permet de disposer de plusieurs couches de défense dans une architecture cloud multi-locataire et offre une isolation renforcée pour tous les clients.

Non. Étant donné que Google fournit des clés de chiffrement gérées par le client et des contrôles d'accès aux données du personnel limitant l'accès aux CJI, l'informatique confidentielle n'est pas requise pour se conformer au CJIS sur Google Cloud. Les clients peuvent néanmoins avoir recours à l'informatique confidentielle en tant que contrôle de sécurité supplémentaire, en plus de l'environnement sécurisé et limité que Google offre aux clients CJIS.

Oui. Google Cloud utilise un module de chiffrement certifié FIPS 140-3 appelé BoringCrypto (certificat 4735) dans son environnement de production. Cela signifie que les données en transit (vers le client et entre les centres de données) comme les données au repos sont sécurisées par défaut à l'aide d'un chiffrement certifié FIPS 140-3.

Les clients peuvent ainsi conserver leur conformité FIPS tout en choisissant parmi diverses offres de gestion de clés cloud, telles que les clés gérées par Google, les clés de chiffrement gérées par le client et un système externe de gestion de clés. Étant donné que Google Cloud utilise ce niveau de chiffrement par défaut pour les données au repos et les données en transit, les clients peuvent hériter du chiffrement FIPS 140-3 et n'ont plus besoin d'exécuter des produits et services en mode FIPS.

Le règlement sur la sécurité CJIS ne requiert pas l'utilisation d'un cloud gouvernemental (ou "cloud public") et il n'existe pas de définition ou de norme universelles concernant ce qui constitue un cloud public. Google Cloud peut assurer la conformité avec la politique de sécurité de la division CJIS. Nous avons démontré notre conformité à une organisation d'évaluation tierce indépendante et à de nombreux CSA d'États. 

Google a investi dans une approche de sécurité multicouche de son infrastructure cloud publique, en fournissant des fonctionnalités telles que le chiffrement et des contrôles stricts des accès aux données par le personnel. Cela, associé à l'implémentation de la stratégie zéro confiance décrite ci-dessus, définit une stratégie de sécurité forte, qui permet de satisfaire aux exigences strictes de la politique de sécurité de la division CJIS, tout en permettant aux clients de bénéficier des constantes innovations produit dans le cloud public.

L'implémentation par Google des contrôles mentionnés ci-dessus (et de bien d'autres) est conforme aux exigences de niveau d'impact FedRAMP Modéré et FedRAMP Élevé, du programme FedRAMP (Federal Risk and Authorization Management Program). Elle a été reconnue par la commission Joint Authorization Board (JAB).

Notre approche est validée par le mémo M-24-15 du Bureau de la gestion et du budget (OMB) intitulé "Modernizing the Federal Risk and Authorization Management Program (FedRAMP)" ("Moderniser le programme FedRAMP"). Ce document recommande aux organismes fédéraux de s'éloigner des architectures GovCloud isolées:

"Le FedRAMP ne devrait pas inciter ni obliger les fournisseurs de services cloud commerciaux à créer des offres distinctes et dédiées à l'utilisation fédérale, que ce soit par l'application de cadres de sécurité fédéraux ou d'autres opérations du programme. Le gouvernement fédéral bénéficie des investissements, de la maintenance de la sécurité et du développement rapide de fonctionnalités que les fournisseurs de services cloud commerciaux consacrent à leurs produits principaux pour réussir sur le marché. De même, les fournisseurs commerciaux sont incités à intégrer à leurs services principaux les pratiques de sécurité améliorées qui découlent de leur engagement avec le FedRAMP, ce qui profite à tous les clients."

Chez Google Cloud, nous pensons que la confiance découle de la transparence. Nous voulons que vous sachiez tout de nos engagements et de notre responsabilité partagée concernant la protection et la gestion de vos données dans le cloud.

Lorsque vous utilisez Google Workspace ou Google Cloud :

  1. Vos données vous appartiennent, elles n'appartiennent pas à Google.
  2. Google ne vend pas les données de ses clients à des tiers
  3. Google Cloud n'utilise pas les données de ses clients à des fins publicitaires
  4. Toutes les données des clients sont chiffrées par défaut
  5. Nous protégeons vos données contre les accès d'initiés.
  6. Nous n'autoriserons jamais une quelconque entité gouvernementale à accéder "de manière détournée" à vos données.
  7. Nos pratiques de confidentialité sont évaluées selon des normes internationales

Consultez l'Avenant relatif au traitement des données dans le cloud (ATDC) pour en savoir plus sur nos engagements concernant le traitement des données.

Passez à l'étape suivante

Profitez de 300 $ de crédits gratuits et de plus de 20 produits Always Free pour commencer à créer des applications sur Google Cloud.

Essai gratuit
Google Cloud
DocumentationAssistance
Console
Se connecter
Security
Page d'accueilRenseignements et expertiseSecOpsSécurité du cloudRessources concernant la sécurité
Assistance à la réponse aux incidents
Nous contacter
  • Accélérez votre transformation numérique
  • Votre entreprise a déjà bien amorcé son processus de transformation numérique ? Vous n'en êtes qu'aux premiers stades ? Dans les deux cas, Google Cloud peut vous aider à relever vos défis les plus complexes.
  • Produits Google Cloud
  • Parcourez plus de 100 produits. Les nouveaux clients bénéficient de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail. Tous les clients peuvent utiliser plus de 25 produits gratuitement, dans les limites mensuelles spécifiées.
  • Faites des économies grâce à notre approche transparente concernant la tarification
  • Le paiement à l'usage de Google Cloud permet de réaliser des économies automatiques basées sur votre utilisation mensuelle et des tarifs réduits pour les ressources prépayées. Contactez-nous dès aujourd'hui afin d'obtenir un devis.
Google Cloud